Wer die Daten im Griff hat

Die Diskussion über digitale Souveränität hat sich in Europa von einer abstrakten Debatte über Datenschutz zu einer Frage der wirtschaftlichen Unabhängigkeit entwickelt. Geopolitische Spannungen, wachsende Cyberbedrohungen und der rasante Aufstieg generativer KI haben das Bewusstsein dafür geschärft, dass Daten weit mehr sind als ein technisches Thema. In diesem Ringen stehen europäische Anbieter, politische Akteure und globale Technologiekonzerne einander gegenüber und versuchen zugleich, gemeinsame Wege zu finden. Besonders sichtbar wird dieser Diskurs im Verhältnis zwischen Europa und den US-Hyperscalern.

Microsoft zählt zu jenen Anbietern, die versuchen, diese Balance neu auszutarieren. Jeff Bullwinkel, Vice President und Deputy General Counsel für Europa, beschreibt die Lage als weiteren Wendepunkt in einer langen Geschichte wechselnder Vertrauensfragen. »Wir sind seit 50 Jahren als Unternehmen tätig und haben mehr als 40 davon in Europa investiert«, erklärt er. Das Vertrauen in der Technologiebranche werde immer wieder erschüttert und muss neu aufgebaut werden. Der Snowden-Skandal habe vor zwölf Jahren gezeigt, wie fragil dieses Vertrauen sei. »Wir haben seither viel getan, um Vertrauen wiederherzustellen«, betont Bullwinkel bei einer Veranstaltung vor Geschäftskunden in Wien.

Bild: Jeff Bullwinkel ist Deputy General Counsel, Corporate & Legal Affairs bei Microsoft EMEA.

Für Microsoft geht es um viel und der Branchenprimus hat auch viel vor. »Wir werden unsere Infrastrukturkapazitäten in Europa bis 2027 verdoppeln«, verweist der Manager zudem auf mittlerweile mehr als 200 Rechenzentren in 16 Ländern, in der auch KI-Modelle trainiert und betreiben werden. Gleichzeitig wolle man sicherstellen, dass europäische Kunden bei geopolitischen Risiken geschützt seien. »Wir haben nun vertraglich zugesichert, gegen jede Anordnung zu kämpfen, die uns verpflichten würde, Cloudservices für europäische Regierungen auszusetzen« sagt Bullwinkel. Zudem habe Microsoft Mechanismen geschaffen, über die Kunden ihre Daten im Notfall zu europäischen Partnern migrieren können, um den Betrieb aufrechtzuerhalten.

Wenig Neues?
Besonders sensibel bleibt die Frage des Zugriffs durch ausländische Behörden. Bullwinkel versucht diese Sorge zu relativieren: »Der Cloud Act schafft keine neuen Befugnisse.« Der Zugriff setze einen richterlichen Beschluss im Rahmen schwerer Kriminalfälle voraus. »Das Risiko ist für europäische Unternehmen praktisch gleich null«, erläutert der Jurist. Auch europäische Cloudanbieter fallen aufgrund ihrer Geschäftsbeziehungen in die USA ebenfalls unter solche Regelungen. Die Daten europäischer Unternehmenskunden würden zudem durch technische und vertragliche Schutzmaßnahmen abgesichert, die bei Microsoft weit über rechtliche Vorgaben hinaus eingeführt worden sind.

Wenig überraschend bewertet der Datenschutzaktivist Max Schrems die Lage völlig anders. Der Versuch von US-Anbietern drohenden Datentransfers durch die Einrichtung von »European Clouds« oder »Boundaries« in europäischen Rechenzentren vorzubeugen, könnte zwar »theoretisch rechtlich möglich« sein, so Schrems, stößt aber in der Praxis auf große Hindernisse. Viele dieser Angebote sind dem Österreicher zufolge »PR-Sprech«. Der Datenschützer führt an, dass die behauptete Kontrolle und Separierung von Infrastrukturregionen oft nicht unabhängig verifizierbar sei. So können Unternehmen diese Systeme nicht prüfen – wie von der DSGVO vorgeschrieben –, sondern müssen sich mit einer Prüfung von Mock-up-Systemen zufriedengeben. Die Kosten für umfassende Audits würden Millionenbeträge erreichen – eine unüberwindbare Hürde für viele.

Bild: Der Jurist Max Schrems kämpft mit dem Verein nyob seit Jahren für Datenschutz in Europa.

Die größte Bedrohung sieht Schrems jedoch nicht in den Cloudservices selbst, sondern in der politischen Instabilität der USA. »Diese Abkommen sind ein Kartenhaus« sagt er und warnt, dass eine einzige Entscheidung des Supreme Court oder ein Politikwechsel alle rechtlichen Grundlagen für Datentransfers aushebeln könnte. Er verweist auf das »Project 2025«, das explizit die Aufhebung jener Executive Orders anstrebt, auf denen die bestehenden Datenschutzregelungen beruhen. »Trump könnte das per Pressekonferenz widerrufen«, warnt Schrems. Für Unternehmen entstünde im Extremfall ein Stillstand über Nacht.

Auch innerhalb der EU sieht Schrems Risiken. Die Debatte über eine veränderte Definition personenbezogener Daten (»Omnibus-Verordnung«) könne Rechtsunsicherheit über Jahre hinweg schaffen. Angesichts der politischen Unsicherheit rät Schrems Unternehmen, verstärkt europäische Lösungen in Betracht zu ziehen – gerade bei Neuinvestitionen. Selbst wenn diese 5 % teurer sind, könnten eine einfachere Compliance und weit weniger rechtliches Kopfzerbrechen diese Mehrkosten mehr als aufwiegen.

Lokaler Fokus
Dass die regionale Verankerung zunehmend an Bedeutung gewinnt, bestätigt auch Roland Neumayr. »Der Standort gewinnt an Bedeutung, weil er Unabhängigkeit und digitale Souveränität stärkt«, sagt der Head of Datacenter bei eww ITandTEL. »Viele Unternehmen suchen heute nicht mehr nach dem günstigsten Rechenzentrumsplatz, sondern nach einem Partner, der ihnen Transparenz, Stabilität und eine nachvollziehbare Governance bietet.« Neumayr betont, wie stark die Nachfrage nach regional kontrollierter Infrastruktur steigt. »Für viele Kunden ist es ein strategischer Vorteil geworden, dass sie mit Spezialisten vor Ort arbeiten, die sie kennen und die ihre Systeme wirklich verstehen.« Regionale Rechenzentren böten Transparenz, kurze Latenzen und stabile Energieversorgung. Der Bedarf an stabilen, überprüfbaren Infrastrukturen wachse stetig und werde immer stärker zu einem strategischen Faktor.

Bild: Roland Neumayr ist Head of Datacenter und Network bei eww ITandTEL in Wels.

Aus der Perspektive der industriellen Digitalisierung betont Michael Zettel, Country Manager Accenture, dass Europa parallel mehrere Herausforderungen meistern müsse. »Die digitale Souveränität Europas kann nur langfristig ein Ziel sein« sagt er. Kurzfristig sei es entscheidend, die führenden Technologien aus den USA zu nutzen – insbesondere der Hyperscaler Microsoft, AWS und Google. »Andernfalls laufen wir in Gefahr, den ohnehin riesigen Rückstand gegenüber den USA und China noch weiter zu vergrößern. Parallel können wir weiter an einer Architektur für technologische Souveränität für Europa arbeiten.« Zettel empfiehlt, »eine Vereinbarung mit den USA anzustreben, die Europa die nötige Rechtssicherheit und technologische Souveränität ermöglichen.«

Pragmatik gefordert
Der KI-Spezialist Clemens Wasner von enliteAI kritisiert, dass Europa die Debatte um Souveränität oft zu eng führe. »In Europa werden lokale Modelle vor allem als Argument für die Souveränität gehandelt«, beobachtet Wasner. In den USA hingegen werden diese vor allem genutzt, um Kosten zu reduzieren und technische Unabhängigkeit von den großen Anbietern zu erhöhen. Besonders auffällig sei, dass amerikanische Unternehmen chinesische Open-Source-Modelle im großen Stil einsetzten. In Europa dagegen werde daraus eine rein »ideologische Debatte« mahnt der Experte mehr technologische Pragmatik ein.

Europa sucht nach Wegen, wirtschaftliche Resilienz, rechtliche Klarheit und technologische Eigenständigkeit gleichzeitig zu erreichen. Hyperscaler wie Microsoft bemühen sich erkennbar, Vertrauen durch technische, organisatorische und juristische Mechanismen zu stärken. Datenschützer und KI-Spezialisten mahnen jedoch, dass Souveränität nicht delegierbar ist: europäische Infrastrukturen und Modelle sollten zu einem festen Bestandteil der Wertschöpfung werden.

Gut zu wissen - Cloudservices, Resilienz und Gesetze: Welche Begriffe Sie kennen sollten.

1. Cloud Act
Der US CLOUD Act (»Clarifying Lawful Overseas Use of Data Act«) aus dem Jahr 2018 regelt, unter welchen Bedingungen US-Behörden Daten von Technologieunternehmen anfordern können. Die Verpflichtung zur Herausgabe von Daten bezieht sich auch auf Informationen, die außerhalb der USA gespeichert sind. Für europäische Unternehmen entsteht daraus ein Spannungsfeld. Nutzt ein Unternehmen Cloudservices von US-Anbietern, besteht theoretisch das Risiko, dass Behörden in den USA Daten anfordern, sofern sie einen richterlichen Beschluss haben und einen Fall »schwerer Kriminalität« verfolgen müssen.

2. Souveräne Region
US-Hyperscaler wie zum Beispiel Amazon Web Services oder Microsoft positionieren mit souveränen europäischen Regionen Cloudangebote, die den Anforderungen an Sicherheit, Datenschutz und regulatorische Compliance in Europa entsprechen. Dabei erfolgen die Speicherung und die Verarbeitung sensibler »Workloads« ausschließlich in europäischen Rechenzentren. Es wird sichergestellt, dass ausschließlich EU-Personal Zugriff auf Infrastruktur und Supportprozesse hat (AWS). Oder es gibt technische Vorkehrungen, um im Bedarfsfall Kundendaten ad hoc auf alternative IT-Infrastrukturen zu migrieren (Microsoft). Diese Services sind gegenwärtig im Aufbau.

3. Digitale Resilienz
Der Begriff beschreibt die Fähigkeit eines Unternehmens, digitale Systeme, Daten und Prozesse auch unter widrigen Bedingungen sicher und funktionsfähig zu halten. Das umfasst den Schutz vor Cyberangriffen, die Widerstandsfähigkeit gegenüber technischen Ausfällen und die Absicherung gegenüber geopolitische Risiken. Der Betrieb und der Datenzugriff sollen schnell wiederhergestellt werden können, falls Störungen auftreten.